»Secure Boot«/»Varni zagon«: Kdo bo nadzoroval vaš naslednji računalnik?
Matthias KirschnerFSFE-jev cilj je zagotoviti, da imajo lastniki IT naprav vedno poln nadzor nad njimi in so edini nadzorniki svojih naprav. To osnovno načelo je v zadnjih časih ogroženo.
S funkcijo imenovano »Varni zagon« (angl. »Secure Boot«), ki bo v računalnike vgrajena od leta 2012 dalje, si izdelovalci strojne in programske opreme poskušajo pridobiti položaj, ki bi jim prinesel stalen nadzor nad IT opremo, ki jo proizvedejo. S tem bi bila oprema »varna« s stališča izdelovalca, vendar ne nujno tudi s stališča končnega lastnika: lastnika bodo morda obravnavali kot nasprotnika. S preprečevanjem uporab opreme, ki jih izdelovelec ni predvidel, lahko nadzorujejo in omejujejo uporabo splošno-namenske IT opreme (npr. osebnega računalnika, prenosnika). V primeru naprav povezanih na internet lahko izdelovalci omejitve uporabe spremenijo kadarkoli, brez da bi lastnika naprave o tem obvestili. Posledično lahko izdelovalci IT opreme po svoji volji kršijo in odvzemajo osnovne pravice, ki običajno pripadajo latnikom izdelkov.
»Varni zagon«: Stražar pred operacijskim sistemom
Ko prižgete svojo napravo, se izvede začetni postopek imenovan zagon. V primeru računalnika začetni postopek vključuje izvedbo strojne programske opreme (angl. firmware). Le ta potem zažene drug program, ki se imenuje zagonski nalagalnik (angl. boot loader), ki nato zažene dejanski operacijski sistem, v katerem lahko zaganjate svoje programe. Do konca leta 2012 naj bi se v večji meri zaključil prehod strojne programske opreme osebnih računalnikov, prenosnikov, strežnikov in drugih računalnikov z običajnega BIOS-a na UEFI. V primerjavi z običajnim BIOS-em ima UEFI nekaj prednosti, na primer hitrejši zagon, gonilnike neodvisne od operacijskega sistema in obljubo o razširjeni varnosti.
Za varnostni vidik skrbi funkcija imenovana »Varni zagon« (angl. »Secure Boot«). Od različice UEFI 2.3.1 (izdane 8. aprila 2011) dalje ta funkcija zagotavlja, da se med zagonom lahko izvede samo programska oprema, ki ustreza enemu izmed vgrajenih kriptografskih podpisov. S tem se med zaganjanjem računalnika onemogoči izvajanje neželene programske opreme, tako da se pred zagonom vsake programske komponente (različne stopnje UEFI-ja, zagonski nalagalnik, jedro operacijskega sistema, itd.) kriptografsko preveri njen podpis. To pomeni, da morajo biti uporabljeni kriptografski podpisi vključeni v zbirko podpisov UEFI-ja vsake naprave z »varnim zagonom« še preden se kriptografsko podpisana programska komponenta lahko na določeni napravi zažene.
FSFE pričakuje, da bo velika večina izdelovalcev računalnikov funkcijo »Varni zagon« vgradila, ker je Microsoft najavil, da izdelovalci funkcijo »Varni zagon« morajo vgraditi, če za svojo napravo želijo pridobiti potrdilo za Windows 8, na primer za logotip »Compatible with Windows 8«.
Računalnik: Splošno-namenska naprava
Z razvojem računalnika kot splošno-namenske naprave je človeška družba v preteklih desetletjih ustvarila močno orodje za opravljanje vseh vrst opravil z eno samo napravo. Sedaj so izdelovalci IT naprav ugotovili, da je v njihovem finančnem interesu, da samovoljno omejujejo zmožnosti teh naprav. Zaradi funkcije »Varni zagon« končni lastniki IT naprav ne morejo svobodno odločati o uporabi svojih naprav, ker ne morajo odločati, katero programsko opremo želijo poganjati.
Pravna oseba, ki dejansko nadzoruje, katera programska oprema se lahko poganja na napravi, in tako določa posamezne funkcije, ki jih naprava izvaja, lahko v končni fazi nadzira vse podatke, ki jih naprava obdeluje ali hrani. Posledično lastnik IT naprave morda ni več edini, ki nadzira svoje podatke.
Na katere naprave se to nanaša?
Trenutno večina analiz stanja glede UEFI temelji na dokumentu »Windows 8 Hardware Certification Requirements«, ki ga je Microsoft objavil v decembru 2011. Microsoftu katerekoli različice teh zahtev za potrjevanje strojne opreme ni bilo in še vedno ni potrebno pokazati javnosti, ker so osnova za individualne pogodbe med Microsoftom in posameznim izdelovalcem strojne opreme, ki želi pridobiti Microsoftovo potrdilo za Windows 8 za računalniške izdelke. Dokument »Windows 8 Hardware Certification Requirements« se zato brez vednosti javnosti lahko spremeni kadarkoli, ali pa se posamezne podrobnosti zahtev razlikujejo glede na izdelovalca. Vse se zgodi po volji Microsofta in večinoma skrito za zaprtimi vrati. Iz tega sledi, da se na objavljeno različico dokumenta ni mogoče zanašati in se je potrebno zavedati, da se podrobnosti glede funkcije »Varni zagon« lahko kadarkoli spremenijo.
Problem funkcije »Varni zagon« ni nujno vezan le na »povezane samostojne sisteme« (najverjetneje večji del prihodnjega trga prenosnikov in osebnih računalnikov) in računalnike temelječe na mikroprocesorjih ARM (večinoma tablični računalniki in mobilni telefoni), ampak ga Microsoft lahko kadarkoli razširi na vse druge vrste naprav. Enako lahko izdelovalci strojne opreme vgradijo UEFI-jev »Varni zagon« ali drug postopek zaganjanja, ki je omejen s pomočjo kriptografskih podpisov, četudi naprava ni namenjena uporabi z Windows 8. TiVo to počne že kako desetletje, prav tako pa kriptografsko omejen postopek zaganjanja uporabljajo številne igralne konzole. Tudi drugi izdelovalci programske opreme lahko uporabijo specifikacije in zahteve, ki so namenjene umetnemu omejevanju zmožnosti IT naprav in so podobne Microsoftovemu omejevanju.
Ali bodo omejitve razširjene na programe?
Čeprav UEFI-jeva specifikacija za »Varni zagon« (kot tudi specifikacija skupine Trusted Computing Group, ki določa »Zaupanja vreden zagon« (angl. »Trusted Boot«)) pokriva le primarni zagonski postopek do jedra operacijskega sistema, je infrastruktura za razširitev preverjanja podpisov na vso programsko opremo, ki teče na računalniku, izpopolnjena in deluje na več operacijskih sistemih. Je pa trenutno poleg Windows 8 uporabljena le za gonilnike za Windows.
Grožnja splošno-namenskemu računalništvu
Če bi bili vsi ti ukrepi pod izključnim nadzorom končnih lastnikov naprav, bi bili ti lahko v njihovo najboljšo korist in jim pomagali izboljšati varnost zagonskega postopka, ki danes po večini ni varen. To bi držalo v primeru, če bi varnostni podsistemi, ki jih določata forum UEFI in skupina Trusted Computing Group (TCG), končnemu latniku tehnično zagotavljali poln in izključen nadzor nad konfiguracijo in upravljanjem teh varnostnih podsistemov, ki vključujejo ustvarjanje, hranjenje, uporabo in odstranjevanje kriptografskih ključev, potrdil in podpisov. Kakor hitro pa lahko te varnostne podsisteme poleg končnega lastnika naprave uporabljajo tudi tuje osebe, lahko le te onemogočijo nenameravane ali nepričakovane uporabe IT naprav.
Iz zgoraj napisanega sledi, da implementacija funkcije »Varni zagon« lahko občutno zmanjša razpoložljivost splošno-namenskih računalnikov, ki so pod polnim in izključnim nadzorom končnega lastnika. Naprave, ki so močno omejene s tehnologijami pod nadzorom podjetij, kakršna je »Varni zagon«, se običajno imenujejo aparati ali naprave za določen namen (npr. večpredstavnostni predvajalniki, telefoni, bralniki knjig). Vsaj nekatere naprave z Windows 8 bodo zato spadale v kategorijo naprav za določen namen in ne v kategorijo splošno-namenskih računalnikov. FSFE odločno poziva, da se take IT naprave jasno označi kot omejene na uporabe, ki jih narekuje podjetje in se na ta način ustrezno informira morebitne kupce.
Ali je zaobidenje teh omejitev možna?
Računalniško podkovani ljudje bodo morda mislili, da so take ukrepe že videli in da je bila večina zaobidenih. To se je zgodilo pri različnih modelih igralnih konzol in pri mnogih novejših mobilnih telefonih. Vendar pa sta kvaliteta in obsežnost omejitev tokrat večji:
- UEFI-jev »Varni zagon« v glavnem cilja na običajne osebne računalnike.
- Podpira jih velik del IT industrije, za primer is oglejte člane foruma UEFI.
- Njihovi zasnova in specifikacija sta rezultat skupnega dela več IT podjetij. Opirajo se na desetletje izkušenj s postkopki zaganjanja, ki temeljijo na podpisih, in se tako izogibajo mnogim klasičnim pomankljivostim, na primer manjkajočemu postopku posodobitve strojne programske opreme (UEFI), ki je pravilno specificiran in kriptografsko varen.
- Uporabljajo varnostne sisteme, ki so izvedeni na strojni ravni, na primer določene s strani skupine TCG (TPM ali MTM, in spremne specifikacije). UEFI sicer ne predpisuje določene implementacije »zavarovane hrambe« za kriptografske ključe, potrdila in podpise; vendar nedavne specifikacije TCG (od 2011 dalje) to vrzel zelo dobro zapolnjujejo.
- Varnostne luknje v implementacijah funkcije »Varni zagon« je moč pričakovati (kot je to običajno za vso programsko opremo), a zaradi tekmovanja med izdelovalci UEFI-ja bodo le ti varnostne luknje hitro odpravili. Do sedaj je bilo drugače. V preteklosti so samo posamezni izdelovalci implementirali svoj kriptografsko omejen postopek zaganjanja in to le za svoje specifične naprave, na primer TiVo Inc. za svoj TIVO, Microsoft za različne generacije Xbox in Sony za PlayStation.
Četudi so bile podobne omejitve uporabe v preteklosti zaobidene, to kaže le na to, da so imele njihove tehnične implementacije pomankljivosti in niso onemogočale zlonamerne programske opreme, ali drugače, niso ponujale načrtovane »varnosti«. Isto bo najverjetneje veljalo tudi za nekatere implementacije funkcije »Varni zagon«, vendar zaobidenje takih mehanizmov nikoli ne more biti rešitev za pomanjkanje svobode ali zmožnosti lastnika naprave, da napravo nadzoruje.
FSFE-jeve zahteve
Za vzdrževanje trajnostne rasti razvoja in uporabe programske opreme je izrednega pomena široka razpoložljivost splošno-namenskih računalnikov.
Pred nakupom naprave je kupce potrebno jasno in jedrnato informirati o tehničnih omejitvah, ki so v tej napravi implementirane, katere so specifične omejitve uporab in kakšne so posledice teh omejitev za lastnika.
FSFE močno priporoča, da se kupuje samo IT naprave, ki lastniku zagotavljajo poln, izključen in trajen nadzor nad varnostnimi podsistemi. Le na ta način je moč zagotoviti zmožnost nameščanja poljubne programske opreme in posledično obdržati izključen nadzor na svojimi lastnimi podatki.